作者｜林冠廷
實習編輯｜王彥涵

當大家都在迎接新年第一天時，iPhone 也沒忘記準備「新年禮物」，有 iOS 4 版本的用戶表示元旦這天鬧鐘居然沒響？據調查顯示，成千上萬的使用者因此遭受到波及。這次事故也不是蘋果首次出問題，根據《紐約時報》報導，早在先前就發生過多起事件。

在軟體開發過程中，若功能運作錯誤，我們稱之為「臭蟲」(Bug)。這個臭蟲可能是不會影響用戶體驗的芝麻小事，也可能是造成人身安全的重大風險。雖然在軟體發行之前，公司內部都有一套測試及修復錯誤的一套機制，但一般用戶不會知道：還有哪些重大漏洞沒被發現？是否會害使用者落入陷阱，產生資安危機？

缺乏明確保護機制，商業軟體臭蟲風險多

軟體是由原始碼 (Source Code) 構成，一般可將軟體分為自由軟體 (free software) 和專有軟體 (proprietary software)，前者的原始碼通常公諸於世，開放給他人自由研究、改良重製和發佈等；後者則反之。商業軟體由於沒有開放原始碼，普通使用者沒有權限深入研究軟體運作機制，導致臭蟲往往藏在軟體深處，難以發現。2014 年，BBC 引用 IBM 的研究報告，踢爆微軟 Windows 長達 19 年未修的臭蟲。IBM 研究員 Robert Freeman 表示，這個漏洞甚至可讓駭客遠端控制使用者的電腦。

Google 的研究者在今年 10 月也發現了一個系統漏洞，苦主仍然是微軟 Windows。據 TechCrunch 報導，Google 指出該漏洞會害使用者被植入惡意軟體，並「持續地被駭客利用」。他們給微軟一週時間抓蟲補洞，微軟卻做不到，Google 因此決定將漏洞細節公開。面對這麼危險的狀態，微軟卻輕描淡寫地回應「開發安全性的更新，必須在即時性與品質之間取得平衡」。

然而，若發現漏洞的人懷有惡意，鄉黨可能利用臭蟲從事非法行為。即使有精通 Windows 的外部開發者願意無償幫微軟作高品質的安全更新，或協助修復軟體，商業軟體的封閉特性也不允許公司以外的人獲取、研究與修改原始碼，讓這種藏在系統深處的「滅蟲」任務更難以達成。

四個自由，保障使用者資訊安全的權利

除了 Windows、Office 等商業軟體之外，Firefox、Linux、LibreOffice 等知名軟體則是開放原始碼的自由軟體。與商業軟體不同，自由軟體定義有「四個自由」：使用軟體、研究與修改原始碼、散布軟體，以及公開軟體修改版本的自由。

這四個自由，讓軟體每個細節攤在陽光下，同時保障開發者與使用者雙方。對開發者而言，軟體若出問題，大量的使用者都可以回報，甚至協助修改軟體錯誤；即使有些使用者不懂得軟體開發，也可以受益於這套快速的臭蟲處理機制，隨時享受最安全的自由軟體。

科技與社會學者洪朝貴撰文表示：「當自由軟體用戶遇到不合理的統治規則，如果有夠多人在乎，就可以一起改變。」洪朝貴也進一步強調，在數位化政府的時代，軟體原始碼是掌控政府機關是否可以正常運作的關鍵，臺灣人「應該從政治觀點去看自由軟體，看到『透明化』與『可修改』的重要意義。」

科技巨頭集結，幫助自由軟體更加安全

目前主流的自由軟體安全性已經極高，並廣泛獲得商業公司使用與維護，但資訊安全永遠還有進步空間。今年 8 月 3 日，「開放原始碼安全基金會」(Open Source Security Foundation，簡稱 OpenSSF) 正式宣告成立。該基金會在成立的新聞稿中提到：「OpenSSF 致力與上游和現存的社群協作與合作，以提升所有的開放原始碼安全性。」所謂社群，是指由開源專案的開發者、維護者與推廣者共同組成的群體。

根據官網，OpenSSF 最初的任務包含漏洞揭露、安全工具、識別開放原始碼計畫中的安全威脅、安全實踐、保護重要專案等，由於矽谷公司早就成為自由軟體的重要使用者，目前除了 Linux 基金會、臉書、IBM、微軟、Google 等科技巨頭是成員外，甚至連華為、騰訊也都是 OpenSSF 的會員。

透過眾人的力量，可以匯集大量投資，幫助自由軟體更加安全，但背景複雜的商業公司加入 OpenSSF 也帶來了疑慮。這些科技巨頭公司的加入成為會員，對於自由軟體開發各有優劣，不過 OpenSSF 的會員無法左右開源專案的決策，就算未來專案有變調，基於自由軟體開放原始碼、去中心化的特性，任何社群成員只要感到不妥，隨時都能把軟體原始碼帶走，並另起爐灶。

---

---

• 本文章授權條款採 創用 CC BY (姓名標示) 4.0。
• 本文章同步刊載於《INSIDE》雜誌網站，標題和前言與《INSIDE》刊出版本略有不同。